[Blast]

mash_
Содержимое файлов config.nt и autoexec.nt (лежать в system32) покажите + список процессов в памяти при нормальной загрузке

autoexec.nt:

@echo off
lh %SystemRoot%\system32\mscdexnt.exe
lh %SystemRoot%\system32\redir
lh %SystemRoot%\system32\dosx

path c:\foxsreda

set TEMP=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\Local Settings\Temp
set TMP=C:\TMP

D:\install\DRIVERS\KEYRUS
-------------
config.nt:

dos=high, umb
device=%SystemRoot%\system32\himem.sys
files=60
--------------------
вроде эти файлы не поменялись, они уже у меня года 3 такие...
Процессы при обычной загрузке смогла только в виде картинки сохранить.

[ShaddyR]

с ума сойти... а зачем так много всякого в конфигурационных файлах?
В процессах вроде ничего слишком лишнего нет... Разве что Promon.exe
Попробуй, предварительно сохранив оба конф. файла в другую папочку, очистить их содержимое и перезагрузить машину.

оказывается, это троян((
http://forum.exler.ru/index.php?show...=0&hle=8581029
теперь бы избавиться от него... (((

[ShaddyR]

отлично)
В смысле, плохо, что, что есть троян, но хорошо, что он найден.
Попробуй найти его физическое месторасположение на ж.д. и в безопасном режиме удалить его оттуда.

[Blast]

ну не знаю, по хорошему ни promon.exe ни csrss.exe не являются изначально вредносными программами, конечно только в том случае если они запускаются из system32 и ниоткуда больше
Первый есть процессом Intel Pro NIC Console, а второй Microsoft Client/Server Runtime Server Subsystem
Не исключено, что троян использует то же имя файла как это нередко бывает, то есть просто необходимо пролечиться антивирусом + антишпионом с последними сигнатурами.
mash_
и мой вам совет: избавьтесь от касперского версии 4.5 в пользу 5.0.* (последний релиз 5.0.527 в случае с Personal)

да, поставила касперского 5 с последними базами и он сразу определил трояна в c:\winnt\csrss.exe
Всем спасибо за помощь и советы. )

[Blast]

mash_
мои поздравления
надеюсь вас не затруднит отметить тему решенной - нав. меню Настройки темы -> Отметить решенной